DSGVO und die Einwilligung einholen

Wir nähern uns dem 25. Mai 2018 und die Aufmerksamkeit geht immer mehr dahin, wie Dienstleistungs­unternehmen intern die kommenden neuen Datenschutz-Änderungen anpassen werden. Gleichzeitig erhalten wir Fragen von unseren Resellern, ob die DSGVO-Änderungen sie überhaupt direkt betreffen wird. Wir wollen hier nochmals betonen, dass die DSGVO eine sehr große Sache ist! Jeder, der Dienstleistungen online vertreibt, sollte sich mit den Änderungen befassen, um bis zum Mai-Stichtag konform zu sein.

Was ist an der DSGVO-Änderung so besonders?

Das ist nicht die erste Datenschutz-Verordnung, die in der Internetwelt einschlägt – jedoch die erste Änderung, die bedeutend großflächig ist und immense Bußgelder mit sich bringt. Wenn ein Daten-Verantwortlicher (Data Controller) gegen die Basis-Daten­verarbeitungs­richtlinien der DSGVO verstößt, wie z.B. die Nichteinhaltung der Zustimmungs­bedingungen von betroffenen Personen, so kann die Geldstrafe bis zu 20 Millionen Euro oder 4% des Jahresumsatzes betragen. Bei der DSGVO ist es auch nicht so, dass das Gesetz nur im Land oder Verband, wo es rechtswirksam ist, gilt – der DSGVO-Geltungsbereich ist viel großräumiger – es trifft nicht nur die in der EU-ansässigen Unternehmen, sondern auch Unternehmen der restlichen Welt, die Dienstleistungen an EU-Ortsansässige verkaufen.

Wenn Sie Reseller mit EU- Kunden sind, ist es höchst­wahrscheinlich, dass Elemente der Datenverarbeitung unter dem DSGVO-Bereich fallen, sei es bei Account-Einrichtungen in Ihrem System für EU-ansässige, Domain Bezahlungen oder dauerhaften Dienstleistungen. Aufgrund der Reichweite sowie signifikanten Bußstrafen, die hier mit der DSGVO verbunden sind, besteht bei Nichtbefolgung der neuen Richtlinien sowohl für Registrare aber auch für jeden Reseller ein großes Risiko.

Mit dem Ausmaß der DSGVO-Reichweite und der –Geldbuße steht fest, dass die DSGVO so gut wie jeden betrifft, der im Internet Geschäfte tätigt. Beachten Sie jedoch, wir geben hier keine juristische Beratung – dies ist nur unsere Sicht aus der Domainindustrie-Perspektive. Wir sind keine Juristen, daher sollten Sie sich hierzu rechtlich separat beraten lassen.

Wann erlaubt die DSGVO die Bearbeitung von personenbezogenen Daten?

Die Verarbeitung von personenbezogenen Daten ist unter der DSGVO erlaubt, wenn die Daten „auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden” (DSGVO Artikel 5). Nähere Angaben über das Thema “ rechtmäßige Weise” finden Sie in Artikel 6 – dort werden sechs verschiedene Grundsätze angegeben. Die ersten zwei Absätze gelten deutlich für das Registrar-Registrant-Verhältnis:

  • Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben
  • Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen

Andere Bedingungen in denen die Daten­verarbeitung legitim ist, wäre wenn die Erfüllung einer rechtlichen Verpflichtung erforderlich ist, um lebenswichtige Interessen einer betroffenen Person oder öffentliches Interesse zu schützen; diese Gründe treffen aber nicht bei Domainnamen zu. Zum Schluss gibt es die Rechtsgrundlage der „Rechtmäßigkeit” definiert in Erwägungsgrund 47 der DSGVO; diese besagt: „Die Verarbeitung personenbezogener Daten im für die Verhinderung von Betrug unbedingt erforderlichen Umfang stellt ebenfalls ein berechtigtes Interesse des jeweiligen Verantwortlichen dar.“ Das Thema der Rechtmäßigkeit trifft bei Domains zu, da viele Unternehmen, die bezahlte Dienstleistungen anbieten, persönliche Daten benötigen um sich vor Betrug zu schützen und um Zahlungen zu verarbeiten.

Aber kommen wir nochmal zurück zum Thema Zustimmung. Die ‚Zustimmung‘ einzuholen hat eine komplizierte rechtliche Grundlage, denn in der DSGVO werden mehrere Voraussetzungen ausgelegt, die den Begriff ‚Zustimmung‘ definieren, wie die Zustimmung bezogen werden kann und welche Daten als Zustimmung verwendet werden können. Wenn die Voraussetzungen nicht erfüllt werden, ist die Weiterverarbeitung nicht rechtmäßig. Dennoch ist in manchen Situationen, die Zustimmung die einzig zutreffende Rechtsbasis zur Weiterbearbeitung von personenbezogenen Daten. Um hier ein besseres Verständnis zu erhalten, wann eine Zustimmung ausreicht, haben wir genauer geschaut, was als Zustimmung unter der DSGVO bezeichnet wird.

Wie definiert die DSGVO den Begriff ‚Einwilligung‘?

In Artikel 4 der DSGVO, lautet die Definition für ‚Einwilligung‘:

„… jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;“

Das sind viele Informationen in einem Absatz, daher schlüsseln wir die Infos hier mal kurz auf:

  • freiwillig abgegeben – es kann keine negativen Konsequenzen bei Nichtzustimmung für weitere Datennutzung zur erforderlichen Vertrags­erfüllung entstehen
  • für den bestimmten Fall – Zustimmung muss für jede Datennutzung individuell angefordert werden; die Datennutzungs­bestimmung kann nicht zusammengebündelt werden
  • in informierter Weise – die Datennutzung muss in der Zustimmungs­anfrage eindeutig und klar verständlich sein
  • unmissverständlich – Die Zustimmung muss deutlich nachvollziehbar sein, aktiv von der betroffenen Person gewählt und nicht passiv erlaubt worden sein.

Die Zustimmungs­erklärung soll sicherstellen, dass diese “in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung” bereitgestellt wird und “un­missverständlich” ist. EPAG wird die aktuellen Prozesse in der Hinsicht umgestalten, dass es nicht einfach eine voreingestellte Checkbox gibt, die vom Domaininhaber leicht übersehen werden kann; stattdessen muss der Domaininhaber seine aktive Zustimmung gewähren. Dies kann zwar durch eine Checkbox erfolgen, wir werden jedoch sicherstellen, dass die Zustimmungs­erklärung nicht vorausgewählt sein wird.

Artikel 7 der DSGVO befasst sich mit den Voraussetzungen der Einwilligung. Hier wird verlangt, dass der Daten­verantwortliche (der „über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“) belegen kann, dass die betroffene Person (dessen personenbezogene Daten gesammelt werden) die Zustimmung erteilt hat. Außerdem wird erläutert, wie die Zustimmung dargelegt werden kann und festgelegt, dass die Zustimmung jederzeit widerrufen werden kann – in einer Methode, die von der Handhabung genauso einfach sein soll wie bei Zustimmungsfreigabe. In anderen Worten, das Widerrufs­recht der Zustimmung soll ein einfacher und unkomplizierter Prozess sein. Das sind viele Anforderungen, die erfüllt werden müssen, um eine zulässige Einwilligung zu erzielen.

Einwilligung oder Vertrag: Was ist da der Unterschied?

Einwilligung ist eine mögliche Rechtsgrundlage für die Datennutzung, wie bereits oben beschrieben; die Erfüllung eines Vertrags ist eine andere gesetzliche Grundlage, welche in der Domain-Registrierungs­welt meist zutrifft. Es scheint, dass eine Vertragsunterzeichnung dasselbe ist wie eine Einwilligungs­abgabe, aber gesetzesmäßig sind dies zwei unterschiedliche Dinge. Ein Vertag und eine Einwilligung erzielen zwar den gleichen Zweck (nämlich die Erlaubnis der Datenverarbeitung), die eigentliche Rechtsgrundlage ist jedoch abweichend. Jede Datenverarbeitung, die für eine Dienstleistung nötig ist, muss im Vertrag einbezogen werden; für die Datenerfassung, die einfach nur „gewünscht, aber nicht notwendig“ ist für die eigentliche Dienstleistung, ist die explizite Einwilligung erforderlich.

Es gibt ebenfalls Bestimmungen zu Vertragsdaten, einschließlich der Datenminimierung (worüber wir im Blog „Die DSGVO und die Änderungen zum Whois“ berichtet haben) und die Vorschrift, dass eine Erklärung über die Datensammlung, die auf Basis eines Vertrages erfasst wird sowie die jeweiligen darin verarbeiteten Bestandteile, bereitgestellt werden.

Wir benötigen persönliche Daten um den Domain­registrierungs-Vertrag mit dem Domaininhaber ausführen zu können. Hier werden die spezifischen Datenelemente auf der Basis der Vertragserfüllung verarbeitet, und nicht der Zustimmung – hier gibt es nicht die Möglichkeit die Daten-Einwilligung zu widerrufen. Das ist wichtig, denn dies stellt sicher, dass die Einhaltung an der DSGVO keine Situationen herbeiruft, in denen wir Domains suspendieren müssen. Wenn eine Einwilligung angefordert aber nicht zugestimmt worden ist, werden wir die persönlichen Daten selbstverständlich nicht aus den Verträgen weitergeben – das bedeutet: Wir können zwar eine Domainregistrierung durchführen, wir können jedoch nicht mehr als das absolute Minimum an Daten verwenden und wir dürfen die Daten nicht für andere Zwecke weitergeben, sondern nur wie im Vertrag vorgegeben.

Was heißt das nun für Domains?

Sie sind es sicherlich gewohnt lange und unverständliche AGBs einfach so zu akzeptieren. Aber diese Art der Einverständniserklärung ist unter der DSGVO nicht zulässig: Ab dem 25. Mai 2018 ist dies gesetzlich nicht mehr erlaubt.

Sobald die DSGVO in Kraft tritt, werden wir nachdem eine Domain-Registrierung durchgeführt wird, an jeden Domaininhaber eine ausführlich detaillierte Einwilligungs-Aufforderung versenden.

Dies wird die Handhabung von persönlichen Daten veröffentlichen, die bei einem Vertrag für unseren Service notwendig sind. Ebenso wird eine explizite Einwilligung von der betroffenen Person eingeholt. Sobald die Erst-Einwilligung erteilt wurde, so hat jeder Domaininhaber noch immer die Möglichkeit jederzeit die Zustimmungs­auswahl zu überprüfen und abzuändern. Schließlich, wie vorgeschrieben, garantieren wir, dass es eine Methode geben wird, bei der die Zustimmung bei Bedarf jederzeit zurückgezogen werden kann.

Das Zusammenbringen von Vertrag und Zustimmung

In Realität sieht es dann so aus: Wenn eine Domain registriert wird, benötigen wir gewisse Daten, um die Domainregistrierung mit dem Domaininhaber zustande zu bringen. Folgende Daten werden benötigt: Name des Domaininhabers, Firmenname (falls angegeben, ansonsten gehen wir davon aus, dass der Inhaber eine Privatperson ist und keine Firma), E-Mail-Adresse und Ländercode. Andere Daten, wie z.B. Adresse und Telefonnummer, sind für den Vertrag nicht erforderlich.

Nichtsdestotrotz könnte der Domaininhaber uns aus vielerlei Gründen seine Zustimmung geben wollen doch die Daten zu verwenden, um vielleicht eine Backup-Authentifizierungs­methode zu nutzen, wenn beispielsweise der Domaininhaber möglicherweise den Zugang zu seinem E-Mail-Konto verloren hat.

Es ist nicht so, dass nur ein Vertrag zwischen der EPAG und dem Domaininhaber besteht; es gibt auch ein Vertrag zwischen der Registry und der EPAG und wenn dieser Vertrag DSGVO-konform ist, wird genau erläutert welche Datenelemente die Registry benötigt und welche gesammelt werden. Im Gegenzug benötigen wird daher diese Datenelemente, um überhaupt eine Domain­registrierung für den Inhaber durchführen zu können. Abhängend von den spezifischen TLD-Voraussetzungen können sich die oben genannten Basisdaten ändern.

Gleichwohl, in paar Fällen werden uns vor Mai sicherlich nicht von allen Registries DSGVO-konforme Verträge vorliegen. Um aber trotzdem die Registrierungen dieser TLDs bearbeiten zu können, benötigen wir die Einwilligung des Domaininhabers, dass seine persönlichen Daten an die jeweilige Registry übermittelt werden dürfen. Die alternative Option wäre, dass wir den Verkauf bestimmter TLDs gänzlich einstellen würden, aber wir wollen hier dem Domaininhaber die Entscheidung nicht nehmen. Stattdessen, überlassen wir dem Inhaber die freie Entscheidung selbst, ob er seine Daten weitergeben möchte (um die Domain zu registrieren) oder nicht.

Was für Auswirkungen hat dies jetzt auf die Reseller?

Was bedeutet das jetzt für Sie als Domain-Reseller? Die größten Veränderungen, die sie durch die DSGVO-Einwilligungs­voraussetzung erfahren werden, sind: Wir informieren die Domaininhaber darüber, wie ihre Daten verarbeitet werden und benötigen ihre explizite Einwilligung für jede Datennutzung, die nicht im Vertrag vorgeschrieben bzw. benötigt wird. All diese Änderungen übertragen dem Domaininhaber die eigene Verantwortung und volle Kontrolle für die Verwendung und Weiterbearbeitung ihrer persönlichen Daten.

Wie zuvor erwähnt, die „Einwilligung“ ist notwendig, wenn der Domaininhaber uns die Erlaubnis gibt, mehr seiner Daten zu nutzen, als im eigentlichen Vertrag notwendig wären oder, wenn wir vorerst keinen DSGVO-konformen Vertrag mit unseren Registry-Partnern haben, aber dennoch weiterhin gewisse TLDs anbieten wollen. Denken Sie jedoch dran, dass Domains nur ein Teil von diesem Puzzle sind, nämlich ein Part der Reseller-Dienstleistung. Jeder, der Bestellungen aufnimmt, Dienstleistungen anbietet, Daten sammelt, etc. muss selbst dafür sorgen, die jeweilige Datennutzung, Vertrags­aktualisierungen sowie Einwilligungs­sammlung der Kunden offenzulegen.

Mit Hilfe eines Rechtsberaters können Sie in Erfahrung bringen, was für Ihr Unternehmen bei diesem Thema speziell wichtig ist – sei es nun Webhosting, Online-Präsenz oder dergleichen. Arbeiten Sie daher mit Ihrem Rechtsberater-Team zusammen, um zu entscheiden welche Daten benötigt werden, damit Ihre Dienstleistung weiterhin korrekt angeboten wird. Denken Sie insbesondere daran, dass die relevanten Dienstleistungs­verträge und Zustimmungs-Einholung einbezogen werden. Auf diese Weise, sind Sie auf jeden Fall schon auf der sicheren Seite und Ihre Kunden können beruhigt sein, dass Sie ein vertrauenswürdiger Partner sind und engagiert sind die Prinzipien der Transparenz und Einwilligung zu folgen.

Weitere Infos zu der DSGVO finden Sie auf unserer DSGVO-Seite.